李暢暢

(華東政法大學(xué)經(jīng)濟(jì)法學(xué)院 上海 200042)

移動(dòng)應(yīng)用作為信息時(shí)代的重要載體,不僅便利了人們的工作生活,也帶來了個(gè)人信息泄露的風(fēng)險(xiǎn).移動(dòng)應(yīng)用是指通過預(yù)裝、下載等方式獲取并運(yùn)行在移動(dòng)智能終端上、向用戶提供信息服務(wù)的應(yīng)用軟件,簡(jiǎn)稱APP.在個(gè)人和APP的交互過程中移動(dòng)應(yīng)用企業(yè)獲取了大量用戶數(shù)據(jù).用戶數(shù)據(jù)作為生產(chǎn)要素,不僅具有十分重要的經(jīng)濟(jì)價(jià)值,還蘊(yùn)含著用戶的人格性利益.實(shí)踐中,企業(yè)侵犯用戶個(gè)人信息權(quán)益的事件屢見不鮮.移動(dòng)應(yīng)用作為企業(yè)處理用戶數(shù)據(jù)的重要渠道,國(guó)家高度重視用戶個(gè)人信息保護(hù)問題,并在立法和執(zhí)法層面采取了多種措施.《中華人民共和國(guó)個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱《個(gè)人信息保護(hù)法》)第17條第3款明確要求:個(gè)人信息處理者須公開其個(gè)人信息處理規(guī)則.因此移動(dòng)應(yīng)用企業(yè)往往通過制定個(gè)人信息保護(hù)政策來履行自己的告知義務(wù).

移動(dòng)應(yīng)用企業(yè)通常會(huì)利用自身的優(yōu)勢(shì),單方面制定不公平的條款,過分強(qiáng)調(diào)自身的權(quán)利,而忽視自身應(yīng)承擔(dān)的義務(wù).與此同時(shí),企業(yè)傾向于制定冗長(zhǎng)、繁瑣的個(gè)人信息保護(hù)政策,不僅文字量巨大,而且專業(yè)術(shù)語(yǔ)繁多,十分晦澀難懂.企業(yè)履行其告知義務(wù)的目的多在于降低法律風(fēng)險(xiǎn),滿足合規(guī)的要求[1].在這種情況下企業(yè)獲得用戶“同意授權(quán)”的正當(dāng)性不足.實(shí)踐中,APP個(gè)人信息保護(hù)政策問題頻出,目前我國(guó)法學(xué)界對(duì)APP個(gè)人信息保護(hù)政策缺乏關(guān)注,亟待學(xué)界對(duì)實(shí)踐中產(chǎn)生的問題進(jìn)行研究[2].

1 個(gè)人信息保護(hù)政策概念與性質(zhì)

1.1 內(nèi)涵界定

個(gè)人信息保護(hù)政策這一概念濫觴于美國(guó)的1973年《公平信息實(shí)踐準(zhǔn)則》[3].美國(guó)的個(gè)人信息保護(hù)機(jī)關(guān)認(rèn)為自己沒有足夠的能力制定統(tǒng)一的實(shí)體性隱私保護(hù)規(guī)則,因此鼓勵(lì)企業(yè)自行創(chuàng)制隱私政策,并對(duì)其進(jìn)行審查[4].通說認(rèn)為個(gè)人信息保護(hù)政策是指互聯(lián)網(wǎng)企業(yè)以在線文件的方式自愿披露其處理用戶個(gè)人信息的目的、范圍和方式等內(nèi)容,并公示其保護(hù)用戶個(gè)人信息的原則和具體措施,以此讓用戶決定是否繼續(xù)使用該產(chǎn)品或服務(wù).雖然實(shí)踐中對(duì)個(gè)人信息保護(hù)政策的叫法不一,但本文傾向于使用該稱謂而不是“隱私政策”.“隱私政策”來源于“privacy policy”的中文翻譯.“個(gè)人信息”與“隱私”存在內(nèi)容上的重合,但兩者并不相同.隱私針對(duì)的是保密層面的內(nèi)容,個(gè)人信息關(guān)注的則是信息處理層面的范疇[5].

1.2 個(gè)人信息保護(hù)政策與用戶協(xié)議的關(guān)系

從廣義角度來看,用戶協(xié)議是指一系列有關(guān)用戶和互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者權(quán)利義務(wù)的協(xié)議.基于商業(yè)效率的考慮,企業(yè)不會(huì)與每個(gè)用戶單獨(dú)擬定用戶協(xié)議,而是事先制定好并直接提供給用戶,因此屬于典型的格式合同.在早期的商業(yè)實(shí)踐中,企業(yè)會(huì)在用戶協(xié)議中通過隱私條款規(guī)定相關(guān)個(gè)人信息保護(hù)內(nèi)容.但是,若把隱私條款視為用戶協(xié)議的一部分并不利于個(gè)人信息保護(hù).《個(gè)人信息保護(hù)法》兼具公法屬性與私法屬性[6],個(gè)人信息涉及人格尊嚴(yán)和人格利益,為保護(hù)用戶個(gè)人信息,個(gè)人信息保護(hù)政策的內(nèi)容不應(yīng)由雙方自主決定,而應(yīng)由具有強(qiáng)制力的規(guī)范來安排.個(gè)人信息保護(hù)政策所規(guī)范的權(quán)利義務(wù)不同于用戶協(xié)議,獨(dú)立設(shè)置個(gè)人信息保護(hù)政策可以體現(xiàn)出個(gè)人信息保護(hù)政策的重要性,也便于用戶查詢和閱讀.當(dāng)然,兩者并非毫無關(guān)系.個(gè)人信息保護(hù)政策是用戶協(xié)議的前置性文件,一旦用戶停止使用網(wǎng)絡(luò)服務(wù)提供者所提供的網(wǎng)絡(luò)服務(wù),應(yīng)當(dāng)認(rèn)定用戶既解除了網(wǎng)絡(luò)服務(wù)協(xié)議,也同時(shí)解除了與處理個(gè)人信息有關(guān)的協(xié)議,網(wǎng)絡(luò)服務(wù)提供者無權(quán)再依據(jù)個(gè)人信息保護(hù)政策的規(guī)定收集、利用用戶個(gè)人信息[7].

1.3 個(gè)人信息保護(hù)政策的法律性質(zhì)

個(gè)人信息保護(hù)政策的定性爭(zhēng)議主要集中在“合同說”和“企業(yè)自律說”2個(gè)方面.前者認(rèn)為個(gè)人信息保護(hù)政策是互聯(lián)網(wǎng)服務(wù)提供者與用戶簽訂的協(xié)議.如“隱私政策是建立在雙方合意基礎(chǔ)上的協(xié)議”[8]“互聯(lián)網(wǎng)上用戶與企業(yè)之間的種種交易當(dāng)屬合同法規(guī)制范疇”[9]等.企業(yè)自律說認(rèn)為個(gè)人信息保護(hù)政策是互聯(lián)網(wǎng)提供者的企業(yè)自律規(guī)則,GB/T35273—2020《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(以下簡(jiǎn)稱“2020國(guó)標(biāo)”)在5.6節(jié)中便采此觀點(diǎn).高秦偉[4]認(rèn)為2種學(xué)說并無實(shí)際的沖突,前者圍繞企業(yè)和用戶的關(guān)系展開,后者則從行政機(jī)關(guān)和企業(yè)的關(guān)系層面進(jìn)行描述.李延舜[10]同時(shí)承認(rèn)個(gè)人信息保護(hù)政策具有合同屬性和企業(yè)自律屬性,并指出隱私條款還具有社會(huì)承諾屬性,以此來消除互聯(lián)網(wǎng)服務(wù)提供者和用戶之間的不平等.考慮到互聯(lián)網(wǎng)服務(wù)提供者和用戶在事實(shí)上地位并不相等,從維護(hù)用戶權(quán)利的角度出發(fā),個(gè)人信息保護(hù)政策應(yīng)是企業(yè)結(jié)合自身服務(wù)產(chǎn)品定位,在滿足法律法規(guī)的最低個(gè)人信息保護(hù)要求上制定的企業(yè)自律規(guī)則,其目的在于告知用戶企業(yè)將如何收集、使用個(gè)人信息.本文認(rèn)為,在符合法律法規(guī)規(guī)定的情況下,用戶的同意應(yīng)當(dāng)認(rèn)為是企業(yè)和用戶依據(jù)隱私政策達(dá)成協(xié)議,其有權(quán)據(jù)此向互聯(lián)網(wǎng)服務(wù)提供者主張權(quán)利.

2 個(gè)人信息保護(hù)政策中的相關(guān)問題

關(guān)于APP個(gè)人信息保護(hù)政策合規(guī)性評(píng)價(jià),一些學(xué)者采用不同的方法對(duì)各類應(yīng)用程序的個(gè)人信息保護(hù)政策進(jìn)行合規(guī)檢測(cè),具體檢測(cè)方法包括文本分析法、內(nèi)容分析法、問題卷調(diào)查法和機(jī)器學(xué)習(xí)等[11].雖然APP檢測(cè)方法得到一定程度的普及,但APP個(gè)人信息保護(hù)政策依然存在規(guī)范化程度較低、侵權(quán)風(fēng)險(xiǎn)高、一致性和可讀性較差等問題.在這些問題中,以下3點(diǎn)尤為值得重視:

1) “知情同意”規(guī)則存在缺陷.

“知情同意”抑或“告知同意”是規(guī)則還是原則,原則是抽象的,規(guī)則是具體的,兩者具有本質(zhì)性差別,考慮到《中華人民共和國(guó)民法典》(以下簡(jiǎn)稱《民法典》)第1035條第1款和《個(gè)人信息保護(hù)法》第17條已經(jīng)將“知情同意”具體化,因此本文認(rèn)為“知情同意”是具體規(guī)則.通說認(rèn)為,知情同意規(guī)則是指?jìng)€(gè)人信息處理者在處理個(gè)人信息前,應(yīng)將具體處理規(guī)則告知個(gè)人信息主體并取得同意.不僅如此,APP運(yùn)營(yíng)者從事前述活動(dòng)時(shí)還應(yīng)當(dāng)滿足最小必要原則,即處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的,并應(yīng)限于實(shí)現(xiàn)處理目的的最小范圍,不得進(jìn)行與此無關(guān)的個(gè)人信息處理.為了滿足上述要求,“2020國(guó)標(biāo)”要求APP運(yùn)營(yíng)者不僅要在個(gè)人信息保護(hù)政策中區(qū)分一般信息和敏感信息,還要區(qū)分基本業(yè)務(wù)功能和擴(kuò)展業(yè)務(wù)功能,這一要求比歐盟的《通用數(shù)據(jù)保護(hù)條例》和美國(guó)的《2018加州消費(fèi)者隱私法》都更為嚴(yán)格.

然而,知情同意規(guī)則卻存在一定的問題.首先,大多數(shù)用戶并沒有太多的時(shí)間、精力和能力去閱讀冗長(zhǎng)繁雜的個(gè)人信息保護(hù)政策.企業(yè)單方面制定的個(gè)人信息保護(hù)政策在權(quán)利義務(wù)分配方面明顯傾向于其自身.在信息不對(duì)稱的情況下,個(gè)人信息主體作出的決定并不能達(dá)到“帕累托最優(yōu)”.面對(duì)選擇較少、市場(chǎng)化程度和規(guī)范程度都較低的應(yīng)用軟件時(shí),個(gè)人只能作出“同意”的選擇.其次,知情同意規(guī)則存在內(nèi)在悖論,個(gè)人信息保護(hù)政策無法兼顧“充分告知”和“簡(jiǎn)單易懂”的要求[12].雖然很多APP提供了簡(jiǎn)易版?zhèn)€人信息保護(hù)政策來提高易讀性,但用戶仍需閱讀原版?zhèn)€人信息保護(hù)政策才能了解完整的信息.最后,個(gè)人信息處理者履行告知的目的多在于降低法律風(fēng)險(xiǎn),而法律規(guī)定和個(gè)人期待的目的在于通過設(shè)定告知義務(wù)來促進(jìn)個(gè)人信息保護(hù),兩者存在部分背離.

2) 第三方SDK存在安全隱患.

嵌入第三方SDK雖然可以提升APP的便利性和兼容性,極大縮短APP的開發(fā)周期,但也會(huì)帶來許多安全問題和個(gè)人信息泄露的風(fēng)險(xiǎn).全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處將SDK定義為:對(duì)實(shí)現(xiàn)APP特定功能的代碼進(jìn)行封裝,向外提供簡(jiǎn)捷的調(diào)用接口的二進(jìn)制文件.而第三方SDK是由第三方軟件開發(fā)提供商提供的,用以實(shí)現(xiàn)軟件特定功能的工具包.被封裝的第三方SDK上設(shè)有簡(jiǎn)單的調(diào)用接口,APP運(yùn)營(yíng)者可以在APP中直接嵌入第三方SDK來實(shí)現(xiàn)特定的功能.APP運(yùn)營(yíng)商通過SDK的接口,將SDK嵌入到APP中.由于SDK具有較強(qiáng)的隱蔽性,用戶在使用APP過程中一般無法感知到SDK的存在,除非APP以頁(yè)面跳轉(zhuǎn)等方式訪問SDK提供者的獨(dú)立交互頁(yè)面,這就涉及SDK的無感知收集問題.此外,APP運(yùn)營(yíng)商與第三方SDK簽訂的合作協(xié)議通常缺少針對(duì)數(shù)據(jù)安全的約束條款.目前,關(guān)于第三方SDK的監(jiān)管仍缺少系統(tǒng)性的安全標(biāo)準(zhǔn).第三方SDK提供者和APP提供者的職責(zé)劃分仍存在盲區(qū),法律責(zé)任承擔(dān)也較為模糊.

3) 匿名化不是“萬(wàn)能靈藥”.

數(shù)字經(jīng)濟(jì)的發(fā)展不僅需要保護(hù)個(gè)人信息,還需要確保數(shù)據(jù)的流通和使用.具有可識(shí)別性的個(gè)人信息連接著作為主體的人與作為客體的信息,個(gè)人信息的處理過程同時(shí)也是不斷識(shí)別特定個(gè)人的過程[13].實(shí)踐中,去標(biāo)識(shí)化和匿名化作為數(shù)字技術(shù)手段常用來平衡數(shù)據(jù)利用和信息主體基本權(quán)利的保護(hù).從原理上看去標(biāo)識(shí)化與匿名化并不相同.根據(jù)《個(gè)人信息保護(hù)法》第4條,去標(biāo)識(shí)化的信息仍屬于個(gè)人信息,而經(jīng)過匿名化處理的信息被認(rèn)為不具有識(shí)別特定信息主體的效果,因此不受調(diào)整個(gè)人信息相關(guān)法律的保護(hù).對(duì)于個(gè)人信息處理者而言,只要將個(gè)人信息進(jìn)行匿名化處理,便能免除后續(xù)流通過程中的合規(guī)義務(wù).事實(shí)上,匿名化并不能一勞永逸地解決個(gè)人信息保護(hù),對(duì)個(gè)人信息進(jìn)行匿名化也不能百分之百確保個(gè)人信息安全.匿名化不是一個(gè)二元概念,不存在百分之百的匿名化數(shù)據(jù).匿名化旨在將重新識(shí)別的風(fēng)險(xiǎn)降低到某個(gè)閾值以下,試圖在降低再識(shí)別風(fēng)險(xiǎn)和保持?jǐn)?shù)據(jù)利用之間找到平衡,但并不能完全消除被重新識(shí)別的風(fēng)險(xiǎn).被匿名化處理的信息在后續(xù)的流轉(zhuǎn)過程中,隨著可結(jié)合信息來源的不斷增加以及信息再識(shí)別技術(shù)的持續(xù)進(jìn)步,現(xiàn)有的匿名化措施可能會(huì)被破解[14].有研究表明,利用統(tǒng)計(jì)方法建立特定模型便可通過匿名化的數(shù)據(jù)集準(zhǔn)確識(shí)別個(gè)體身份.該研究由此得出結(jié)論認(rèn)為目前的匿名化技術(shù)不足以保護(hù)個(gè)人隱私[15].雖然有學(xué)者提出了匿名化的具體法律標(biāo)準(zhǔn)[16],但目前我國(guó)并沒有相關(guān)規(guī)定對(duì)個(gè)人信息匿名化的具體標(biāo)準(zhǔn)進(jìn)行規(guī)范.匿名化并不是單純的自動(dòng)化,對(duì)收集的個(gè)人信息進(jìn)行匿名化需要個(gè)人信息處理企業(yè)投入大量的合規(guī)成本,個(gè)人信息匿名化標(biāo)準(zhǔn)的模糊性會(huì)引發(fā)企業(yè)進(jìn)行匿名化標(biāo)準(zhǔn)的“逐底競(jìng)爭(zhēng)”,不利于個(gè)人信息保護(hù).

3 國(guó)外的經(jīng)驗(yàn)和啟示:歐美實(shí)踐

歐盟制定的《統(tǒng)一數(shù)據(jù)保護(hù)條例》對(duì)全世界的個(gè)人信息保護(hù)產(chǎn)生了重要影響.歐盟對(duì)數(shù)據(jù)隱私保護(hù)的態(tài)度源自其將數(shù)據(jù)視為獨(dú)立于公民隱私權(quán)的基本權(quán)利,隨著基本權(quán)利發(fā)展而來的隱私保護(hù)側(cè)重于預(yù)防事前的風(fēng)險(xiǎn)[17].歐盟建立了強(qiáng)有力的個(gè)人信息公法保護(hù)制度,其數(shù)據(jù)保護(hù)機(jī)構(gòu)的執(zhí)法已經(jīng)對(duì)企業(yè)產(chǎn)生了威懾力[18].與歐盟不同,美國(guó)通過內(nèi)涵廣泛的隱私權(quán)概念對(duì)個(gè)人信息進(jìn)行保護(hù)[19].美國(guó)缺乏聯(lián)邦層面的統(tǒng)一隱私保護(hù)立法,個(gè)人信息保護(hù)法在州立法和行業(yè)立法中呈碎片化狀態(tài).如弗吉尼亞州立法層面的《消費(fèi)者數(shù)據(jù)保護(hù)法》、行業(yè)立法層面的《視頻隱私保護(hù)法》.這些法律都被冠以消費(fèi)者保護(hù)法的名義.在沒有專門個(gè)人信息立法保護(hù)的領(lǐng)域中,美國(guó)也是采用消費(fèi)者保護(hù)的模式對(duì)個(gè)人信息進(jìn)行一般保護(hù),本質(zhì)上更接近于合同法保護(hù),即私法保護(hù)[6].

美國(guó)的消費(fèi)者保護(hù)模式主要依賴于聯(lián)邦貿(mào)易委員會(huì)(FTC)的執(zhí)法.當(dāng)企業(yè)違反自身制定的隱私政策時(shí),FTC可依《聯(lián)邦貿(mào)易委員會(huì)法》第5節(jié)的規(guī)定對(duì)其提起訴訟.由于第5節(jié)主要是為了防止不公平和欺詐交易行為,因此對(duì)個(gè)人信息保護(hù)的范圍有限[3].美國(guó)的消費(fèi)者保護(hù)模式?jīng)Q定了用戶的個(gè)人信息保護(hù)依賴于企業(yè)自律.然而,面對(duì)巨大的用戶數(shù)據(jù)利益,企業(yè)并不會(huì)遵守隱私政策的規(guī)定.隨著隱私保護(hù)與數(shù)據(jù)共享利用效率之間的矛盾日益突出,以及歐盟GDPR在全球數(shù)字隱私保護(hù)領(lǐng)域內(nèi)的影響愈加深遠(yuǎn),美國(guó)國(guó)內(nèi)越來越強(qiáng)烈地呼吁制定聯(lián)邦統(tǒng)一立法.2022年6月3日,美國(guó)參議院和眾議院發(fā)布了《美國(guó)數(shù)據(jù)隱私和保護(hù)法》(ADPPA)的草案,該立法草案是第1個(gè)獲得兩黨兩院支持的美國(guó)聯(lián)邦全面隱私保護(hù)提案.從法律層面來看,這項(xiàng)隱私保護(hù)法案的通過意味著美國(guó)數(shù)據(jù)隱私保護(hù)進(jìn)入聯(lián)邦統(tǒng)一標(biāo)準(zhǔn)的時(shí)代.

歐盟的嚴(yán)格執(zhí)法不影響受到損害的個(gè)體自行提起訴訟,美國(guó)也在積極探尋統(tǒng)一立法途徑.結(jié)合歐美實(shí)踐可以看出,在個(gè)人信息保護(hù)方面,公共執(zhí)法和私人執(zhí)法都在互相靠攏,對(duì)于個(gè)人信息保護(hù)同時(shí)采取公私法融合的路徑更為合適.個(gè)人信息泄露造成損害的復(fù)雜性決定了其多元救濟(jì)的公私法融合路徑[20].

4 我國(guó)APP個(gè)人信息保護(hù)的規(guī)范路徑

個(gè)人信息兼具人身屬性與流通屬性,數(shù)據(jù)流通能實(shí)現(xiàn)社會(huì)效益的最大化[21],但數(shù)據(jù)流通與個(gè)人信息保護(hù)之間存在一定的沖突.在與個(gè)人信息處理者交互的過程中,個(gè)人實(shí)際上處于劣勢(shì)地位.因此,如何在優(yōu)先保護(hù)個(gè)人權(quán)益的情況下健全數(shù)據(jù)流通機(jī)制便成為個(gè)人信息保護(hù)制度發(fā)展的核心和關(guān)鍵.目前來看,實(shí)踐中APP個(gè)人信息保護(hù)問題頻出,因此一方面鼓勵(lì)企業(yè)完善內(nèi)部合規(guī)體系,另一方面發(fā)揮公私法融合的路徑,在確保個(gè)人隱私安全的前提下推動(dòng)數(shù)據(jù)流通.

4.1 鼓勵(lì)企業(yè)自律,優(yōu)化內(nèi)部合規(guī)體系

4.1.1 企業(yè)應(yīng)擁抱監(jiān)管,完善內(nèi)部合規(guī)體系

企業(yè)應(yīng)當(dāng)在充分保障信息主體權(quán)益的前提下開展經(jīng)營(yíng)活動(dòng).隨著監(jiān)管執(zhí)法的加強(qiáng),企業(yè)主體不應(yīng)當(dāng)畏懼監(jiān)管,而應(yīng)當(dāng)“擁抱”監(jiān)管,將個(gè)人信息保護(hù)真正融入到日常的業(yè)務(wù)和產(chǎn)品中.目前相關(guān)法律法規(guī)明確了個(gè)人信息處理者的義務(wù),為相關(guān)個(gè)人信息處理者依法履行義務(wù)提供了具體指引.換言之,監(jiān)管的具體規(guī)則并不是為了抑制企業(yè)的發(fā)展,而是通過監(jiān)管來引導(dǎo)幫助企業(yè)明晰自身的服務(wù)和產(chǎn)品的功能,并規(guī)范內(nèi)部合規(guī)流程.當(dāng)前監(jiān)管要求企業(yè)區(qū)分其基本業(yè)務(wù)和擴(kuò)展業(yè)務(wù)功能,這就要求企業(yè)的法務(wù)和合規(guī)部門與具體的業(yè)務(wù)部門進(jìn)行溝通交流,深入了解企業(yè)的數(shù)據(jù)流動(dòng)路徑情況,這有利于完善企業(yè)內(nèi)部合規(guī)體系,降低企業(yè)合規(guī)成本.企業(yè)應(yīng)當(dāng)建立個(gè)人信息安全事件處置機(jī)制,開展個(gè)人信息安全影響評(píng)估、制定應(yīng)急預(yù)案、開展應(yīng)急演練案、完善的信息安全管理制度和內(nèi)部安全事件處置機(jī)制等.

4.1.2 企業(yè)應(yīng)加強(qiáng)與用戶的溝通交流,完善個(gè)人信息保護(hù)政策文本

對(duì)個(gè)人信息處理者而言,個(gè)人信息保護(hù)政策一方面是其作為告知用戶個(gè)人信息處理情況的窗口和取得個(gè)人信息主體合法授權(quán)的重要渠道,另一方面體現(xiàn)著個(gè)人信息處理者對(duì)相關(guān)法律法規(guī)的合規(guī)程度.個(gè)人信息處理者應(yīng)當(dāng)在個(gè)人信息保護(hù)政策中以顯著方式、清晰易懂的語(yǔ)言真實(shí),準(zhǔn)確、完整地向個(gè)人告知相關(guān)處理事項(xiàng),不應(yīng)隱瞞產(chǎn)品或服務(wù)中含有的收集個(gè)人信息的功能.個(gè)人信息處理者“告知”不充分可能會(huì)影響其處理個(gè)人信息的合法性.基于商業(yè)效率的考慮,個(gè)人信息保護(hù)政策是由個(gè)人信息處理者提前單方擬定的格式文本,難以全面考慮到用戶的意愿,缺少實(shí)質(zhì)的雙方合意過程.因此,企業(yè)應(yīng)當(dāng)傾聽用戶的建議,拓寬與用戶的交流渠道.個(gè)人信息主體享有解釋說明權(quán),企業(yè)應(yīng)當(dāng)在法定期限內(nèi)及時(shí)對(duì)用戶的疑問進(jìn)行解答.相關(guān)研究表明,如果個(gè)人信息保護(hù)政策文本以默認(rèn)自動(dòng)顯示的方式展示給受眾,相較于提供點(diǎn)擊鏈接的方式,其內(nèi)容更容易被仔細(xì)閱讀和充分理解[22].企業(yè)可以積極探索個(gè)人信息保護(hù)政策內(nèi)容可視化,在個(gè)人信息保護(hù)政策文本中增加圖示類內(nèi)容或者擴(kuò)大圖示內(nèi)容的占比也能夠有效降低讀者的認(rèn)知負(fù)荷,提高閱讀后的效果[23].

4.1.3 企業(yè)應(yīng)強(qiáng)化對(duì)第三方SDK監(jiān)管

企業(yè)應(yīng)從事前、事中、事后3個(gè)方面對(duì)第三方SDK進(jìn)行全流程監(jiān)管.事前,企業(yè)的業(yè)務(wù)部和法務(wù)部應(yīng)該共同與第三方SDK進(jìn)行充分的協(xié)商和溝通,審核評(píng)估安全風(fēng)險(xiǎn),簽訂帶有專門的數(shù)據(jù)安全約束條款的合作協(xié)議,并明確第三方SDK數(shù)據(jù)處理范圍,建立雙方信息安全機(jī)制,明晰雙方承擔(dān)的法律義務(wù)和責(zé)任.事中,企業(yè)通過自身數(shù)據(jù)安全部門或第三方專業(yè)機(jī)構(gòu)定期對(duì)第三方SDK進(jìn)行技術(shù)檢測(cè)和安全核查,評(píng)估安全機(jī)制落實(shí)情況,對(duì)第三方SDK的違規(guī)行為及時(shí)進(jìn)行處理和懲處.事后,企業(yè)應(yīng)當(dāng)督促第三方SDK按照合作協(xié)議,刪除或匿名化處理共享或收集的用戶個(gè)人信息.此外,企業(yè)應(yīng)當(dāng)提供退出機(jī)制以供用戶選擇.當(dāng)用戶選擇拒絕適用第三方SDK提供的服務(wù)時(shí),個(gè)人信息處理者應(yīng)當(dāng)禁止第三方SDK處理相關(guān)個(gè)人信息.個(gè)人信息處理者應(yīng)對(duì)其處理的個(gè)人信息做到全生命周期負(fù)責(zé).在取得用戶同意的情況下,個(gè)人信息處理者將信息通過去標(biāo)識(shí)化處理后共享給第三方時(shí),應(yīng)當(dāng)與第三方約定不得利用所接收的數(shù)據(jù)進(jìn)行還原.

4.2 強(qiáng)化私力救濟(jì),完善事后救濟(jì)

知情同意規(guī)則存在些許問題,但其仍是個(gè)人與信息處理者之間沖突的最小化成本解決方式[24].在當(dāng)前法律已經(jīng)明確知情同意規(guī)則的法律地位的情況下,考慮到個(gè)人和信息處理者之間存在實(shí)力地位不對(duì)等的現(xiàn)實(shí),經(jīng)過用戶同意的個(gè)人信息保護(hù)政策應(yīng)被視為個(gè)人和信息處理者通過電子數(shù)據(jù)交換形式達(dá)成的格式合同,從而可以適用《民法典》和《中華人民共和國(guó)消費(fèi)者權(quán)益保護(hù)法》的相關(guān)規(guī)定對(duì)個(gè)人進(jìn)行保護(hù).此外,現(xiàn)有的侵權(quán)救濟(jì)體系并不利于個(gè)人信息保護(hù),信息主體往往難以證明其遭受了財(cái)產(chǎn)和精神損害.葉名怡[25]指出大數(shù)據(jù)技術(shù)的發(fā)展加劇了個(gè)人和信息處理者之間的強(qiáng)弱對(duì)比,亟需在個(gè)人信息侵權(quán)領(lǐng)域重構(gòu)侵權(quán)法體系框架.從合同規(guī)范角度來看,個(gè)人信息處理者有義務(wù)按照個(gè)人信息保護(hù)政策的約定處理個(gè)人信息.如果個(gè)人信息處理者違反個(gè)人信息保護(hù)政策的規(guī)定處理個(gè)人信息,個(gè)人有權(quán)要求個(gè)人信息處理者承擔(dān)違約責(zé)任.適用違約責(zé)任可以有效彌補(bǔ)現(xiàn)有救濟(jì)方式的不足,重塑個(gè)人信息主體與企業(yè)的平等關(guān)系并促進(jìn)企業(yè)自律[2].例如,若個(gè)人信息保護(hù)政策中存在不合理不公平的“霸王條款”,用戶可以根據(jù)格式條款的規(guī)定予以救濟(jì).

4.3 健全公力執(zhí)法,實(shí)現(xiàn)常態(tài)化監(jiān)管

從比較法來看,我國(guó)的《個(gè)人信息保護(hù)法》是一部立足本土國(guó)情具有中國(guó)特色的個(gè)人信息保護(hù)法律[6].《個(gè)人信息保護(hù)法》在總結(jié)先前立法和實(shí)踐經(jīng)驗(yàn)基礎(chǔ)上形成了一套具有可操作性的專門規(guī)范體系.然而,這也意味著切實(shí)保護(hù)信息主體的個(gè)人信息權(quán)益需要公權(quán)力發(fā)揮主導(dǎo)作用.《個(gè)人信息保護(hù)法》第6章明確提出履行個(gè)人信息保護(hù)職責(zé)的部門要主動(dòng)介入個(gè)人信息處理活動(dòng)并積極履行相應(yīng)法定職責(zé).主管部門應(yīng)該通過調(diào)整部門規(guī)章和出臺(tái)規(guī)范性文件進(jìn)一步將《個(gè)人信息保護(hù)法》相關(guān)制度進(jìn)行具體的細(xì)化與落實(shí).與其他國(guó)家設(shè)置獨(dú)立監(jiān)管機(jī)構(gòu)不同,我國(guó)采用統(tǒng)籌協(xié)同機(jī)制的個(gè)人信息保護(hù)監(jiān)管體系.根據(jù)《個(gè)人信息保護(hù)法》,國(guó)家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個(gè)人信息保護(hù)工作和相關(guān)監(jiān)督管理工作,國(guó)務(wù)院有關(guān)部門在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)管管理工作.在地方層面,縣級(jí)以上地方人民政府有關(guān)部門履行個(gè)人信息保護(hù)和監(jiān)督管理職責(zé).相比單一監(jiān)管機(jī)構(gòu),協(xié)同治理需要各部門對(duì)實(shí)踐中遭遇到的問題進(jìn)行積極溝通,在法律法規(guī)的授權(quán)范圍內(nèi)做好個(gè)人信息保護(hù)和監(jiān)督管理工作.中央和地方應(yīng)在執(zhí)法尺度和標(biāo)準(zhǔn)方面保持一致,以形成包括行業(yè)監(jiān)管和地方監(jiān)管的雙重監(jiān)管體系,確保執(zhí)法的穩(wěn)定性和可預(yù)期性.

從目前的情況來看,我國(guó)缺乏常態(tài)化的行政監(jiān)管機(jī)制.移動(dòng)應(yīng)用行業(yè)迅速發(fā)展,短期內(nèi)還會(huì)產(chǎn)生諸多問題,國(guó)家的短期專項(xiàng)治理依然有必要.但從長(zhǎng)期來看,國(guó)家應(yīng)當(dāng)建立常態(tài)化監(jiān)督機(jī)制,制定相應(yīng)執(zhí)法或者監(jiān)管的指南,完善行政執(zhí)法部門和管理部門之間的協(xié)調(diào)互動(dòng)機(jī)制,從突擊整治轉(zhuǎn)移到長(zhǎng)效治理,從事前監(jiān)督轉(zhuǎn)移到事中、事后監(jiān)督,注重?cái)?shù)據(jù)流轉(zhuǎn)的全生命周期監(jiān)管.當(dāng)前,第三方SDK問題突出,APP提供者自身沒有能力對(duì)第三方SDK進(jìn)行實(shí)時(shí)管理,相關(guān)部門應(yīng)當(dāng)界定兩者的責(zé)任邊界,并制定相應(yīng)的技術(shù)管控措施.面對(duì)APP數(shù)量的井噴增長(zhǎng),國(guó)家應(yīng)當(dāng)運(yùn)用人工智能、大數(shù)據(jù)等新技術(shù)手段進(jìn)行APP自動(dòng)化檢測(cè).監(jiān)管機(jī)構(gòu)應(yīng)制定適當(dāng)章程規(guī)范檢測(cè)流程,及時(shí)與APP開發(fā)者交流,指導(dǎo)其對(duì)個(gè)人信息處理機(jī)制進(jìn)行修改和重新測(cè)試.

5 結(jié) 語(yǔ)

個(gè)人信息蘊(yùn)含著信息主體獨(dú)立的人格利益,同時(shí)也含有重要的商業(yè)價(jià)值和公共價(jià)值,需要在保護(hù)個(gè)人信息的前提下尋求個(gè)人信息處理者和社會(huì)公共利益之間的平衡點(diǎn).為解決APP個(gè)人信息保護(hù)政策中存在的問題,需要進(jìn)一步堅(jiān)持“以人為本”的個(gè)人信息保護(hù)觀,需要相關(guān)企業(yè)切實(shí)遵守其與用戶間就個(gè)人信息處理達(dá)成的協(xié)議,明確雙方在合同項(xiàng)下的權(quán)利義務(wù)關(guān)系,并不斷優(yōu)化內(nèi)部合規(guī)體系,落實(shí)法律法規(guī)要求.而在此過程中,國(guó)家不僅需要扮演監(jiān)管者的角色,更要引導(dǎo)和幫助企業(yè)把好信息安全關(guān),確保網(wǎng)絡(luò)信息服務(wù)環(huán)境的良性循環(huán).